ADVISORY. Praktijkgids 4. Service Organisatie Control-rapport, ISAE kpmg.nl

Transcriptie

1 ADVISORY Praktijkgids 4 Service Organisatie Control-rapport, ISAE 3402 kpmg.nl

2 2 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402

3 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Inhoudsopgave Introductie 5 1 ISAE 3402 Service Organisatie Control-rapport Geschiedenis Type I en Type II Wat is een Service Organisatie Control-rapport niet? Het is geen certificaat Het is geen rapport opgesteld door de auditor ISAE 3402 geeft geen inhoudelijke norm Hoe misverstanden te voorkomen 13 2 Service Organisatie Control-rapporten tegen het licht van de verdere groei in uitbesteding Vormen van uitbesteding Gebruik assurancerapporten Doeltreffendheid ISAE 3402-rapport 16 3 De standaard nader bekeken Inleiding Managementbewering Auditorsrapport De systeembeschrijving Reikwijdte Systeembeschrijving Lay-out Service Organisatie Control-rapport Distributie Subserviceorganisaties 24

4 4 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Veelgestelde vragen Waar moet de gebruiker van een Service Organisatie Control-rapport op letten? Hoe verhoudt een Service Organisatie Control-rapport zich tot een uitbestedingscontract? Welke eisen worden aan een serviceorganisatie gesteld? Wanneer is de auditor onafhankelijk? Wat zijn de kosten van een Service Organisatie Control-rapport? Wie mag een auditorsrapport afgeven? Kan continuïteit van de dienstverlening deel uitmaken van de scope? Moet het altijd een ISAE 3402 Service Organisatie Control-rapport zijn? 33 5 Over KPMG Contactinformatie 35

5 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Introductie De strategische keuze om een deel van de bedrijfsprocessen door een gespecialiseerde dienstverlener te laten uitvoeren is een normaal onderdeel van de bedrijfsvoering. Het management van de uitbestedende organisatie blijft echter verantwoordelijk voor het geheel, dus ook voor de onderdelen die zijn uitbesteed. Deze constatering geeft het toepassingsgebied aan van deze praktijkgids over Service Organisatie Control-rapporten met betrekking tot beheersingsmaatregelen gericht op de financiële verslaglegging. De praktijkgids is de vierde van een in 2007 gestarte reeks van publicaties over de totstandkoming en het gebruik van assurancerapporten. Met als eerste de praktijkgids SAS 70. Uitbesteding kan op bijna elk proces betrekking hebben. Sommige van de uitbestede processen zijn zo belangrijk voor de bedrijfsvoering dat de beheersing ervan in het directe aandachtsgebied van het management valt. Door uitbesteding kunnen belangrijke controles (key controls) uit het zicht raken en is er geen directe invloed op het naleven van de gemaakte uitvoeringsafspraken. Een Service Organisatie Control-rapport geeft de uitbestedende organisatie inzicht en zekerheid inzake de uitvoering van controls. Een praktisch alternatief voor het zelf op onderzoek uitgaan bij de serviceorganisatie. Uitbesteding betreft velerlei gebieden, zoals logistiek, IT, het verzorgen van registraties, vertegenwoordigingen, etc. Beheersingsmaatregelen zijn er met betrekking tot diverse kwaliteitsaspecten als betrouwbaarheid, beschikbaarheid, sustainability, beveiliging en efficiëntie. Ieder gebied kent zijn eigen normen en vormen voor het afleggen van verantwoording. Specifiek voor uitbestedingen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie is het ISAE 3402-assurancerapport ontwikkeld, meestal aangeduid als Service Organisatie Control-rapport. Het rapport is bestemd voor het management van de uitbestedende organisatie en haar accountant. Het geeft invulling aan de onvolledigheid van het controlraamwerk die is ontstaan doordat de uitbestedende organisatie zelf niet meer in staat is de volledigheid, juistheid en tijdigheid van de uitbestede processen te controleren. De controle kan alleen op een indirecte wijze plaatsvinden op basis van de opgeleverde informatie zoals service level- en incidentenrapportages.

6 6 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Een ISAE 3402 Service Organisatie Control-rapport is een prima sluitstuk voor het management van de gebruikersorganisatie en haar accountant om zekerheid over het totaalbeeld te verkrijgen. De procesbeschrijving (onder ISAE 3402 gedefinieerd als systeem 1 ) en de gedetailleerde beheersingsmaatregelen in het ISAE 3402 Service Organisatie Control-rapport worden door een onafhankelijke auditor beoordeeld en aangevuld met een auditorsrapport en informatie over de uitgevoerde testen. Dit oordeel geeft ook zekerheid dat het rapport aan de vormvoorschriften voldoet en de organisatie in opzet, bestaan en werking (voor een Type II-rapport) overeenkomt met de beschrijving. Het voldoen aan de vorm vereisten uit de standaard is belangrijk wil het rapport bruikbaar zijn voor de externe accountant van de uitbestedende organisatie. Hiermee komen we bij de kern van een ISAE Het systeem omvat de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruiker de diensten te verlenen.

7 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Service Organisatie Control-rapport. De standaard is in de eerste plaats opgezet als een verantwoordingsrapport van de serviceorganisatie naar de accountant van de uitbestedende organisatie. Het rapport komt voor de accountant in de plaats van eigen testwerkzaamheden op de werking van de interne controls die van belang zijn voor de juistheid en volledigheid van de financiële verantwoording van de uitbestedende organisatie. Op basis van de door een collega-auditor afgegeven auditorsrapport en de in het rapport opgenomen resultaten van de testwerkzaamheden kan hij beoordelen welke aanvullende werkzaamheden nodig zijn voor zijn controle van de jaarrekening van zijn opdrachtgever, de uitbestedende organisatie. In Nederland is de internationale ISAE 3402-standaard overgenomen door de Nederlandse Beroepsorganisatie van Accountants (NBA) onder de naam NV COS 3402 en door de beroepsorganisatie van IT-auditors NOREA onder de naam Richtlijn Beide zijn gelijkluidend. In deze publicatie worden de standaarden aangeduid onder de naam van de gemeenschappelijke bron: ISAE Een ISAE 3402-assurancerapport is bestemd voor de uitbestedende organisatie (de gebruiker) en haar accountant. Het rapport komt voort uit regels voor onderlinge informatie-uitwisseling tussen auditors. Een ISAE 3402-assurancerapport sluit naadloos aan op de vereisten uit ISA 402. Deze auditstandaard geeft voor de accountant aan hoe te handelen in situaties waarin zijn controleklant voor de financiële verslaglegging relevante processen heeft uitbesteed aan een serviceorganisatie. Vanuit corporate governance bezien is toegevoegde waarde voor de bestuurder van de uitbestedende organisatie zo groot dat zijn accountant als gebruiker dikwijls op de tweede plaats is komen te staan. Het doel van deze praktijkgids is om verstrekkers en gebruikers van ISAE 3402 Service Organisatie Control-rapporten inzicht te geven in de specifieke aspecten van dit soort assurancerapporten. Door het verschil tussen de uitgangspunten in gebruik van de rapportage, zoals het de opstellers van de standaard voor ogen staat en het gebruik in de praktijk is er helaas nog weleens sprake van onbegrip of misverstanden. 2 ISAE International Standard Assurance Engagement

8 8 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 ISAE 3402 Service Organisatie 1 Control-rapport

9 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Een ISAE 3402 Service Organisatie Control-rapport beschrijft het transactieverwerkend systeem van een serviceorganisatie en de wijze waarop dit wordt beheerst door de serviceorganisatie. Het wordt opgesteld door de serviceorganisatie en beoordeeld door een door de serviceorganisatie aangestelde auditor (de service auditor). De service auditor verrijkt het rapport met informatie over de uitgevoerde testwerkzaamheden en met zijn oordeel. 1.1 Geschiedenis Hoewel er vele lokale vormen bestonden van assurancerapporten met betrekking tot uitbestede processen, was de Amerikaanse SAS 70-standaard tot 2011 de facto standaard. Service Organisatie Control-rapporten op basis van ISAE 3402 zijn de opvolger daarvan. Uitgaande van de Amerikaanse SAS 70-standaard en de algemene assurancestandaard ISAE 3000 heeft de International Auditing and Standards Board (IAASB) van de International Federation of Accountants (IFAC) ISAE 3402 ontwikkeld. Deze standaard is door nationale standaardzetters overgenomen, ook in Nederland. Voor Nederlandse rapporten die buiten Nederland worden gebruikt kan aan ISAE 3402 worden gerefereerd. Zoals in de introductie genoemd hebben de NBA en de NOREA de standaard overgenomen onder de naam NV COS 3402, respectievelijk Richtlijn In de Verenigde Staten is de standaard overgenomen onder SSAE 16 en de naam SOC 1 3. Om de ISAE 3402 te kunnen inpassen in de Amerikaanse set van standaarden is de standaard op een aantal punten aangepast; de aanpassingen zijn echter niet van invloed op de inhoud van het assurancerapport. Nu er een internationale bron standaard is met een lokale implementatie is het niet nodig om op basis van een standaard te werken die buiten de eigen jurisdictie valt. Voor internationaal gebruik kan het auditorsrapport worden uitgebracht onder ISAE 3402 of op basis van NV COS 3402 / Richtlijn 3402 met een verwijzing naar ISAE SOC Service Organisation Control

10 10 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Type I en Type II Er zijn twee typen Service Organisatie Control-rapporten: Type I en Type II. Het Type I-rapport betreft een momentopname. Een Type 1 Service Organisatie Control-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. Basaal gesteld beantwoordt de auditor de vraag: Komt de beschrijving van het rapport overeen met de werkelijke situatie?. Het oordeel van de auditor wordt verwoord in het auditorsrapport. Het Type II-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de rapportageperiode in overeenstemming met de beschrijving is. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode door de auditor getest. Het oordeel wordt door de auditor verwoord in het auditorsrapport. De uitgevoerde testwerkzaamheden met betrekking tot de beheersingsmaatregelen en de bevindingen worden aan het rapport toegevoegd, meestal in een sectie met de titel informatie verstrekt door de service auditor. Indien over een Service Organisatie Control-rapport wordt gesproken, wordt over het algemeen een Type II-rapport bedoeld. Een Type I-rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.

11 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Wat is een Service Organisatie Control-rapport niet? Misverstanden berusten meestal op een situatie waarin er een gevoel is het te begrijpen, maar dat dit begrip eigenlijk niet (geheel) juist is. Als het beeld niet juist is, is dit gevaarlijker dan een erkenning dat het begrip ontbreekt. Door het specifieke karakter kan het lastig zijn om precies te begrijpen wat een Service Organisatie Control-rapport is. Voor een goed begrip volgen in de onderstaande paragrafen elementen die dikwijls verkeerd worden geïnterpreteerd Het is geen certificaat Een Service Organisatie Control-rapport wordt nog wel eens op één lijn gesteld met een ISO-certificaat. Een certificaat is echter beperkter dan een rapport. Bij een certificaat staan de normen en daarmee de scope vast. Een certificaat wordt wel of niet behaald. Een Service Organisatie Control-rapport geeft een beschrijving volgens een vast formaat. Scope en normen worden bepaald door de serviceorganisatie en worden door de service auditor op hun toereikendheid beoordeeld. Het auditorsrapport geeft de zekerheid dat de beschrijving overeenkomt met de werkelijkheid en dat het rapport aan de standaard voldoet. Naast de zekerheid die de auditor geeft, biedt het rapport inzicht in de situatie. De lezer kan het rapport gebruiken voor een eigen evaluatie van de beheersingsmaatregelen binnen de serviceorganisatie. Als lezer weet je wat je krijgt voorgeschoteld en dat je de daarin gepresenteerde informatie kunt vertrouwen. Het rapport is genuanceerd. De gebruiker moet het doornemen om te weten wat hij eraan heeft Het is geen rapport opgesteld door de auditor De Service Organisatie Control-rapportage wordt opgesteld door een serviceorganisatie. Hierbij kan zij rekening houden met eisen die door gebruikers aan het rapport gesteld worden. Het management van de serviceorganisatie bevestigt in haar managementbewering dat het rapport aan de criteria uit de ISAE 3402-standaard voldoet. Het auditorsrapport bevat het oordeel van de auditor ten aanzien van opzet, bestaan en werking (Type II) van de in het rapport beschreven beheersings-processen. Het auditorsrapport zonder de beschrijving van het systeem en de daarbij behorende beheersingsmaatregelen heeft geen betekenis, hiervoor bevat het te weinig inhoudelijke informatie.

12 12 Praktijkgids 4, Service Organisatie Control-rapport, ISAE ISAE 3402 geeft geen inhoudelijke norm In feite is de ISAE 3402 standaard leeg. De standaard geeft een kader om eenduidig verantwoording over het ontwerp, de implementatie en het naleven van beheersingsdoelstellingen te kunnen afleggen. De serviceorganisatie bepaalt de scope en beheersingsdoelstellingen van het rapport. Dit kan in overleg met de gebruiker, maar dat hoeft niet. De standaard geeft aan wat de serviceorganisatie en de auditor in het Service Organisatie Control-rapport moeten opnemen en geeft de kaders voor de werkzaamheden van de auditor. Het beschikbaar zijn van een Service Organisatie Control-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. De rapportage kan constateringen van ernstige tekortkomingen bevatten met, in de meest negatieve situatie, een afkeurend oordeel van de service auditor. Het Service Organisatie Control-rapport geeft zekerheid en inzicht. Het is aan de lezer om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan zijn kwaliteitseisen voldoet. Uit de praktijk zijn situaties bekend waarin de serviceorganisatie een bewuste keus maakt om een deel van het proces buiten de scope te laten. De motivatie hiervoor is dan in het rapport opgenomen. De auditor beoordeelt in zo n geval de scope als onvolledig en neemt in het auditorsrapport een kwalificatie op ten aanzien van de scope. Is het rapport nu waardeloos? Nee, dat niet. Het kan zelfs zijn dat de gebruikers erom hebben gevraagd. Als er geen rapport was, dan bleven zij in het ongewisse. Nu weten de gebruikers van het rapport precies waar ze aan toe zijn en kunnen zij zelf aanvullende (gegevensgerichte) controlemaatregelen treffen. De accountant van de gebruikersorganisatie zal op basis van het rapport concluderen dat hij op zoek moet gaan naar compenserende controles binnen de organisatie van financial audit-klant, de uitbestedende organisatie.

13 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Hoe misverstanden te voorkomen Het vooraf onderkennen van deze misverstanden kan teleurstelling over de bruikbaarheid van het Service Organisatie Control-rapport voorkomen. Communicatie tussen de opsteller (serviceorganisatie) en de gebruikers van het rapport (de uitbestedende organisatie) is hierbij de sleutel. Het initiatief om tot een Service Organisatie Control-rapport te komen ligt bij de serviceorganisatie. In tegenstelling tot een algemeen assurancerapport is bij een rapportage op basis van ISAE 3402 de serviceorganisatie altijd de opsteller van het rapport en de opdrachtgever voor de audit door de service auditor. Als de serviceorganisatie dit zonder afstemming met de gebruiker doet, is de kans is groot dat de gebruiker het rapport niet begrijpt, respectievelijk dat het niet aan zijn behoefte voldoet. Hierdoor loopt de gebruikswaarde voor de gebruiker, en zijn accountant sterk terug. Een reactie op deze constatering zou kunnen zijn om vooraf aan de klanten te vragen wat zij graag zouden willen ontvangen. De kans is groot dat de klanten dat niet weten of dat zij met een onmogelijke lijst ( doet u mij maar alles ) van wensen komen. De praktijk heeft uitgewezen dat een Type I-rapport hiervoor uitkomst kan bieden. Dit rapport is goed te gebruiken voor een eerste concrete communicatie met de gebruiker. Voor de opsteller betekent dit dat er opbouwend gewerkt wordt, het Type I-rapport is het fundament voor het toekomstige Type II-rapport. Bij de verstrekking van het Type I-rapport wordt aangegeven dat dit de opmaat is voor een Type II-rapport. Het rapport is het concrete ijkpunt voor het afstemmen van de scope en het vernemen van mogelijke andere wensen van de gebruiker. Naast rapporten bestemd voor een groep gebruikers zijn er ook rapporten die bestemd zijn voor één gebruiker. Deze rapporten worden op maat gemaakt, over het algemeen op verzoek van de gebruiker, die daarbij de gewenste scope en de gewenste beheersingsdoelstellingen aangeeft. Ook hier is het zinvol om de inhoud van het rapport vooraf in concept met de gebruiker af te stemmen, wat hier gezien de relatie veeleer een natuurlijke actie zal zijn.

14 14 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Service Organisatie Controlrapporten tegen het licht van de groei in uitbesteding

15 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Vormen van uitbesteding In de uitbestedingsmarkt wordt een onderscheid gemaakt in de uitbesteding van IT-diensten (ITO 4 ) en de uitbesteding van businessprocessen (BPO 5 ). Het gestructureerd uitbesteden van processen, en daarmee de behoefte aan assurancerapporten is begonnen met de automatisering van bedrijfsprocessen. De verwerking van gegevens vindt hierdoor niet meer onder de eigen aansturing plaats, er moet worden vertrouwd op de integriteit van de serviceorganisatie. Blind vertrouwen is echter wel wat veel gevraagd, de gebruiker wil inzicht in de beheersing hebben. Dit betekent dat de gebruiker of zijn vertegenwoordiger de serviceorganisatie zou moeten bezoeken om vast te stellen of de integriteit- en beschikbaarheidsrisico s voldoende zijn afgedekt. De mogelijkheid hiertoe wordt in het uitbestedingscontract vastgelegd als right to audit. Deze werkwijze heeft voor beide partijen een groot nadeel. De uitbestedende organisatie heeft capaciteit nodig om deze controles uit te (laten) voeren; dit is niet in lijn met de intentie van de uitbesteding, namelijk vereenvoudiging en efficiëntie. De serviceorganisatie wordt geconfronteerd met een groot aantal audits vanuit haar klanten, wat veel capaciteit kost om dit in goede banen te leiden. De oplossing die hiervoor gevonden is we spreken over ongeveer dertig jaar terug was een audit ten behoeve van de uitbestedende organisatie. In de Nederlandse accountantsliteratuur werd dit al snel aangeduid met de term TPM, wat staat voor Third Party Mededeling. Het faciliteren van IT is een ondersteunend proces. De tendens van uitbesteding strekte zich uit naar andere, meer inhoudelijke businessprocessen. Nadat de processing van salarissen was uitbesteed, breidde zich dit uit naar salarisverwerking en nog verder naar onderdelen ter ondersteuning van de HR-functie. Invulling van het right to audit bij dit model van business process outsourcing heeft dezelfde knelpunten als hiervoor genoemd. BPO is qua materie meer divers dan uitbestede IT-diensten. Dit heeft zijn invloed op de eisen die aan de inhoud van een assurancerapport worden gesteld. Het rapport moet specifiek inzicht geven wil het voor de gebruiker van toegevoegde waarde zijn. 4 ITO IT Outsourcing 5 BPO Business Process Outsourcing

16 16 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Voor het begrip van de ISAE 3402-standaard moeten de gebruikers van de standaard zich realiseren dat deze is opgesteld door een standard setting board (IAASB) voor auditors. De standaard is ontwikkeld om inzage tegeven in, en assurance te geven over beheersingsmaatregelen die (indirect) bijdragen aan een juiste en volledige financiële verslaglegging door de uitbestedende organisatie. 2.2 Betekenis assurancerapporten Een Service Organisatie Control-rapport is geen kwaliteitskeurmerk, maar een serviceorganisatie die een Service Organisatie Control-rapport op kan stellen moet een stabiel en uitgewerkt systeem van interne beheersing hebben. Als dit niet de situatie is, dan is het onmogelijk om een dergelijk rapport op te stellen. De aanwezigheid van een ISAE 3402-rapport geeft een indicatie van de volwassenheid van de administratieve organisatie van de serviceorganisatie. Serviceorganisaties die een Service Organisatie Control-rapport beschikbaar stellen aan hun klanten hebben een streepje voor op hun concurrenten die dit niet kunnen. Zij leveren naast de service ook inzicht in de kwaliteitsmaatregelen met betrekking tot de service. 2.3 Doeltreffendheid ISAE 3402-rapport Zoals reeds eerder vermeld, is een Service Organisatie Control-rapport gericht op de beheersingsmaatregelen met betrekking tot processen die (indirect) een relatie hebben met de financiële verantwoording van de uitbestedende organisatie. Deze doelgerichtheid heeft het voordeel dat de gebruiker, het financieel management van de gebruikersorganisatie en haar accountant het rapport direct zullen herkennen. Zij weten welke waarde zij er aan toe kunnen kennen en kunnen er naar vragen. Bij een aanvraag kan worden volstaan met het aangeven van de gewenste scope en eventueel, de in het rapport op te nemen, beheersingsdoelstellingen. De kenmerken hoeven in de vraagstelling niet gedefinieerd te worden, deze liggen in de standaard al vast.

17 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Deze duidelijkheid heeft ook een nadeel, de scope heeft zijn beperkingen. In een situatie met een andere context moet worden teruggevallen op de al lang bestaande algemene assurancestandaard, ISAE ISAE 3402 is een specifieke uitwerking van ISAE Keuzes die ISAE 3000 mogelijk maakt, zijn binnen ISAE 3402 geconcretiseerd. Dit geeft de mogelijkheid het model van het ISAE 3402-assurancerapport onder ISAE 3000 (aangepast) te gebruiken. Het bovenstaande is door de AICPA (American Institute of Certified Public Accountants, de Amerikaanse beroepsorganisatie van accountants) herkend, maar wordt door het ontbreken van richtlijnen tegelijkertijd als een bedreiging voor de kwaliteit gezien. Om de herkenbaarheid en voorspelbaarheid van Service Organisatie Control-rapporten ten aanzien van IT-gerelateerde processen te bewerkstelligen, is in de Verenigde Staten specifieke guidance ontwikkeld, te weten het SOC 2- en het SOC 3-rapport. Deze rapporten hebben betrekking op de betrouwbaarheid, beschikbaarheid en vertrouwelijkheid (privacy) van IT-dienstverlening en volgen zo veel mogelijk het rapportagemodel ISAE 3402, in de Verenigde Staten aangeduid met SOC 1. De SOC 2/SOC 3 guidance is niet gebaseerd op ISAE 3000, maar op een in de Verenigde Staten geldende, min of meer gelijkluidende, standaard. Buiten de Verenigde Staten kan de SOC 2/SOC 3 guidance zonder meer worden gevolgd met als uiteindelijke referentie de assurancestandaard ISAE Dit leidt tot enkele formele aanpassingen in de bewoordingen in het auditorrapport. Let wel op dat SOC 1, SOC 2 en SOC 3 in de Verenigde Staten gedeponeerde Trade Marks zijn. De SOC 2/SOC 3-rapportages zijn bijzonder geschikt voor het verkrijgen van assurance bij IT-dienstverlening in de Cloud. Een verdere uitwerking hiervan valt buiten de reikwijdte van deze publicatie. Nadere informatie hierover is te vinden in specifiek hierop betrekking hebbende publicaties. 6 ISAE 3000 is in Nederland geïmplementeerd onder de naam COS 3000 (NBA) en Richtlijn 3000 (NOREA).

18 18 Praktijkgids 4, Service Organisatie Control-rapport, ISAE De standaard nader bekeken

19 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Inleiding Het Service Organisatie Control-rapport onder ISAE 3402 is opgebouwd volgens de in de standaard opgenomen criteria. Zowel het management als de auditor verklaart in zijn uiting dat het rapport aan deze criteria voldoet. In dit hoofdstuk wordt hier nader op ingegaan. 3.2 Managementbewering Kenmerkend voor een Service Organisatie Control-rapport is de managementbewering. Zonder managementbewering is het geen Service Organisatie Control-rapport overeenkomstig de standaard. In de managementbewering verklaart het management dat het rapport aan de vereisten van de standaard voldoet en dat de beschrijving overeenkomt met de situatie op het genoemde moment (Type 1) respectievelijk overeenkomt met de situatie gedurende de rapportageperiode (Type II). In de standaard is een voorbeeld van een managementbewering opgenomen. Voorbeeld klinkt wat vrijblijvender dan dat het is. De op te nemen teksten komen direct voort uit de standaard en geven daardoor weinig ruimte voor creativiteit. Het verantwoordelijk management baseert zijn verklaring op de uitgevoerde management controls. Dit kunnen eigen waarnemingen zijn, maar ook door het lager management opgestelde in-control statements en rapportages van interne controleafdelingen, interne accountants, klachtenafhandeling, etc. De omvang van de organisatie is bepalend voor de mix van monitoringmaatregelen die als toereikend kan worden gekwalificeerd. Het is te verwachten dat managers die hun verantwoordelijkheden serieus nemen dit op orde hebben. De managementbewering wordt niet geaudit door de service auditor. Het gehele rapport moet worden gezien als een beschrijving van het systeem en de beheersingsmaatregelen voorzien van twee kwaliteitsuitspraken, één door het management en één door de auditor. Overigens is te verwachten dat beide statements dezelfde strekking hebben. Het zou vreemd zijn als het management zonder toelichting verklaart in control te zijn, terwijl de auditor met bevindingen komt die hier strijdig mee zijn.

20 20 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Auditorsrapport Het auditorsrapport is de rapportage die de auditor aan het Service Organisatie Control-rapport toevoegt. Zoals reeds eerder vermeld: de systeembeschrijving in het Service Organisatie Control-rapport is de verantwoordelijkheid van de serviceorganisatie, de auditor is verantwoordelijk voor de review daarvan en voor de rapportage van zijn bevindingen. Voorbeeldteksten voor het auditorsrapport zijn in de bijlage bij de standaard opgenomen. De strekking van de standaard laat weinig ruimte om hierin te wijzigen, anders dan het toevoegen van de bevindingen uit de audit. Ook hier geldt, als het formaat uit de standaard niet wordt gevolgd, is er geen sprake meer van een ISAE 3402-assurancerapport. Wat niet wil zeggen dat het geen assurancerapport meer is, maar wel dat het niet meer aan de specifieke vereisten van ISAE 3402 voldoet. Al lijkt het auditorsrapport standaard te zijn, het moet gelezen worden, nuances zitten in de details. Naast de standaardtekst doet de auditor verslag van zijn bevindingen en formuleert hij een specifiek oordeel. Inzicht in de gegeven zekerheid wordt verkregen door kennis te nemen van de inhoud van het auditorsrapport. 3.4 De systeembeschrijving De in de standaard gebruikte termen zijn strak gedefinieerd. Eén van deze termen is systeem van de serviceorganisatie. Het systeem omvat de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruiker de diensten te verlenen. Naast de reikwijdte dient de beschrijving ten minste te bevatten: soorten diensten, procedures, informatiestromen, verwerking andere gebeurtenissen dan standaardtransacties, procedure ten aanzien van Service Level-rapportages, de beheersingsdoelstellingen en beheersingsmaatregelen, door de gebruikersorganisatie te treffen beheersingsmaatregelen,

21 Praktijkgids 4, Service Organisatie Control-rapport, ISAE overige aspecten ten aanzien van: - beheersingsomgeving, - risico-inschatting, - informatiesysteem en communicatie, - beheersingsactiviteiten, - monitoringmaatregelen. In een Type II-rapport, een beschrijving van de relevante wijzigingen gedurende de verslagperiode Reikwijdte De reikwijdte van het ISAE 3402-rapport moet van toegevoegde waarde zijn voor de gebruiker. Het moet aansluiten bij een dienst die als geheel wordt afgenomen. Voor een organisatie die bijvoorbeeld de salarisverwerking heeft uitbesteed, heeft een rapport met betrekking tot de beheersing van de onderliggende IT-infrastructuur beperkte toegevoegde waarde. Voor de uitbestedende organisatie gaat het om de beheersing van het gehele salarisverwerkingsproces, niet alleen om de onderliggende IT-processen. Er is zelfs een risico dat door misinterpretatie de gebruiker het gevoel krijgt dat het gehele proces van salarisverwerking onder control is, terwijl het rapport alleen betrekking heeft op de controleaspecten ten aanzien van de IT-infrastructuur. Een ander voorbeeld is de uitbesteding van een proces dat bestaat uit frontoffice- en backofficefuncties. In dat geval kan niet worden volstaan met een rapport waarin alleen de backofficefunctie in scope is. Omdat een backofficefunctie niet zonder een frontofficefunctie kan, zou het rapport een onvolledig beeld geven, hetgeen een bron van misinterpretatie kan zijn Systeembeschrijving Zoals hiervoor is beschreven, wordt het proces waarop het assurancerapport betrekking heeft in de ISAE 3402-standaard systeem genoemd. Systeem is dus veel breder dan het informatiesysteem. Onder de oude SAS 70-standaard was een systeembeschrijving geen strikte vereiste. De meeste elementen van een systeembeschrijving waren echter ook opgenomen in een SAS 70-rapportage, maar dan vooral om controls inzichtelijk te maken. Bij Service Organisatie Control-rapporten die omgezet zijn vanuit oude SAS 70-rapporten is dit nog terug te zien.

22 22 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Een rapportagecriterium dat bij de omzetting regelmatig over het hoofd wordt gezien is de procesbeschrijving met betrekking tot de verwerking van nietroutinematige transacties. Hierbij is te denken aan incidentafhandeling, het inregelen van nieuwe klanten, etc. In een Type II-rapport heeft het oordeel van de auditor over de systeembeschrijving betrekking op de opzet en het bestaan ervan gedurende de verslagperiode. 7 De auditor kan zijn oordeel alleen afgeven als de wijzigingen tijdens de verslagperiode in het rapport zijn opgenomen. Een beschrijving van de relevante wijzigingen is bij een Type II-rapport dan ook als een vereiste in de standaard opgenomen. In een aantal gevallen komt het voor dat de beheersingsmaatregelen binnen de serviceorganisatie niet de gehele beheersingsdoelstelling afdekken. Bijvoorbeeld als de serviceorganisatie voor de volledigheid van de verwerking van de mutaties afhankelijk is van de aanlevering door de gebruikersorganisatie. De gebruikersorganisatie zal zelf op basis van de verwerkingsrapporten de volledigheid van de verwerking van de mutaties moeten waarborgen. De serviceorganisatie kan immers alleen de volledigheid van de verwerking van de aan haar aangeboden mutaties vaststellen. De voor het proces essentiële beheersingsmaatregelen binnen de gebruikersorganisatie moeten in het rapport worden vermeld. In de standaard wordt dit aangeduid met aanvullende interne beheersingsmaatregelen van de gebruikende entiteit. 3.5 Lay-out Service Organisatie Control-rapport De standaard definieert wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. Ook de oude SAS 70-standaard kende geen voorgeschreven formaat; echter de door het AICPA uitgegeven guidance werkte vanuit een rapport dat was opgebouwd uit vier secties. Een lay-out die zo goed als door alle serviceorganisaties gevolgd werd. In lijn met de opbouw van de oude SAS 70-rapporten hebben de ISAE 3402-rapporten in de praktijk een gelijke opbouw gekregen. Wordt hierbij rekening gehouden met 7 Het oordeel over de werking (operational effectiveness) beperkt zich tot de beheersingsmaatregelen zoals opgenomen in het hoofdstuk Beheersdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor

23 Praktijkgids 4, Service Organisatie Control-rapport, ISAE de invoeging van de managementbewering, dan is de indeling van een ISAE 3402-rapport als volgt: 1 Auditorsrapport. 2 Managementbewering. 3 Systeembeschrijving. 4 Beheersingsdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor. 5 Overige informatie. De beheersingsdoelstellingen en beheersingsmaatregelen worden in de standaard als onderdeel van de systeembeschrijving genoemd. Deze worden in een aparte sectie opgenomen om te voorkomen dat er in het rapport doublures voorkomen. Bij een Type II-rapport worden de beheersingsmaatregelen door de auditor op hun effectiviteit (werking) gedurende de rapportageperiode getest. De auditor documenteert dit in het rapport door aan de beheersingsmaatregelen de uitgevoerde tests en de testresultaten toe te voegen. Het volgen van deze structuur voorkomt dat de beheersingsdoelstellingen en beheersingsmaatregelen twee keer in het rapport moeten worden opgenomen, één keer in de systeembeschrijving en vervolgens in de sectie met de documentatie van de door auditor uitgevoerde testwerkzaamheden. De sectie Overige informatie valt buiten de scope van de audit. Het onderzoek van de auditor gaat niet verder dan vast te stellen dat de inhoud van deze sectie niet strijdig is met zijn beeld van de organisatie en de systeembeschrijving. In zijn auditorsrapport spreekt de auditor geen oordeel uit over de in deze sectie opgenomen informatie. 3.6 Distributie Het Service Organisatie Control-rapport kan zowel door de service auditor als door de serviceorganisatie worden opgemaakt. Het meest gebruikelijk is dat de serviceorganisatie het rapport opmaakt in haar eigen (corporate) lay-out. Nadat de auditor tot zijn oordeel is gekomen, overhandigt hij de tekst van zijn auditorsrapport en de testinformatie aan de serviceorganisatie en machtigt hij haar om dit in het rapport op te nemen.

24 24 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Het Service Organisatie Control-rapport is bestemd voor de organisaties die de diensten in scope gedurende de rapportageperiode (bij een Type I op het rapportagemoment) hebben afgenomen. In de laatste paragraaf van het auditorsrapport staat in de meeste gevallen vermeld dat het rapport uitsluitend bestemd is voor gebruik door deze groep gebruikers en hun accountants. De distributieverantwoordelijkheid ligt bij de serviceorganisatie; gezien het vertrouwelijke karakter van het rapport moet de serviceorganisatie hier verantwoord mee omgaan. Het rapport is beslist niet bedoeld voor een vrije publicatie op het internet. In de Verenigde Staten is het gebruikelijk dat de auditor het gehele rapport opmaakt. In Nederland komt dit ook voor, maar dat is meer uitzondering dan regel. De auditor ontvangt de systeembeschrijving inclusief de beheersingsdoelstellingen en beheersingsmaatregelen, eventueel overige informatie en de managementbewering en voegt dit samen met zijn rapportage en testinformatie. De auditor draagt de rapporten over aan de serviceorganisatie die zorg draagt voor de distributie. 3.7 Subserviceorganisaties De serviceorganisatie waaraan het werk is uitbesteed kan, op haar beurt, een deel van het proces uitbesteden aan een derde. Denk aan een serviceorganisatie die de salarisverwerking verzorgt en die voor de IT-infrastructuur gebruik maakt van een derde partij. Volgens de standaard kan hier op twee manieren mee worden omgegaan: Carve-out het aan de subserviceorganisatie uitbestede proces wordt niet in het rapport betrokken (in de Nederlandse standaard wordt dit de uitsluitingsmethode genoemd). Inclusive het aan de subserviceorganisatie uitbestede proces wordt in het rapport opgenomen, (in de Nederlandse standaard wordt dit de opnamemethode genoemd). Let op dat in een aantal situaties waar derden betrokken zijn geen sprake hoeft te zijn van een subserviceorganisatie. Soms blijkt dat bij nadere analyse de derde partij als een leverancier is te karakteriseren; een leverancier is geen onderdeel van het proces, hij levert een product of een (informatie)dienst. Een voorbeeld

25 Praktijkgids 4, Service Organisatie Control-rapport, ISAE hiervan is de aanlevering van koersinformatie aan vermogensbeheerders. De leverancier daarvan moet in het rapport worden genoemd, verdere uitwerking is echter niet nodig. Dit wordt niet aangeduid met carve-out / uitsluiting. Bij een carve-out gaat het om een subserviceorganisatie die deel uitmaakt maakt van het uitbestede proces. Zonder afbreuk te doen aan de bruikbaarheid van het rapport kan het aan de subserviceorganisatie uitbestede procesonderdeel uit de scope worden weggelaten als: er geen key controls binnen dit proces zijn opgenomen; de subserviceorganisatie een assurancerapport publiceert, dat ook beschikbaar is voor de klant van de serviceorganisatie; de serviceorganisatie zelf voldoende controles kan uitvoeren op het proces van de subserviceorganisatie. Deze laatste variant wordt ook wel de monitoring approach genoemd. In het rapport worden beheersingsdoelstellingen opgenomen die betrekking hebben op de beheersing van de uitbesteding. Beheersingsmaatregelen die hierbij horen zijn bijvoorbeeld: analyse van Service Level-rapportages, opvolging incidentenrapportage, visuele inspectie van de uitbestedingslocatie en analyse en opvolging van ontvangen assurancerapporten. De auditor moet in zijn auditorsrapport melding maken van de uitsluiting van door subserviceorganisaties uitgevoerde procesonderdelen. Bij het volgen van de opnamemethode (inclusive report) worden de door de subserviceorganisatie uitgevoerde processen in het rapport meegenomen. Alle elementen moeten in het rapport worden opgenomen: de beschrijving van het systeem, de beheersingsdoelstellingen en beheersingsmaatregelen en een bewering (assertion) van het management. Indien de inrichting van de subserviceorganisatie sterk afwijkt van die van de serviceorganisatie ontstaan er als het ware twee rapporten in één. De opnamemethode is eigenlijk alleen geschikt voor organisaties die organisatorisch gezien dicht bij elkaar liggen, bijvoorbeeld twee dochterondernemingen. De auditor moet de subserviceorganisatie in zijn audit betrekken. In zijn auditorsrapport vermeldt de auditor dat zijn testwerkzaamheden en oordeelsvorming ook betrekking hebben op de processen bij de subserviceorganisatie.

26 26 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Veelgestelde vragen

27 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Waar moet de gebruiker van een Service Organisatie Control-rapport op letten? Voor de accountant van de uitbestedende organisatie komt het Service Organisatie Control-rapport in de plaats van eigen testwerkzaamheden. Dit is mogelijk omdat het rapport niet alleen een oordeel van een collega bevat, maar ook informatie over de door die collega uitgevoerde testwerkzaamheden. Het gebruik van het Service Organisatie Control-rapport als controlebewijs is vastgelegd in auditstandaard ISA 402, door de NBA geïmplementeerd als NV COS 402 De controleconsequenties van het gebruikmaken van serviceorganisaties door entiteiten. Een Service Organisatie Control-rapport volgens NV COS 3402 / Richtlijn 3402 bevat alle informatie om aan de vereisten van NV COS 402 te kunnen voldoen. Het rapport is voor de accountant de bron voor het verkrijgen van zekerheid en informatie over de interne beheersing binnen de serviceorganisatie. Het oordeel van de service auditor heeft betrekking op de kwaliteitsvereisten van het rapport (de criteria) en de implementatie en effectieve werking (Type II) van de beheersingsmaatregelen. Met andere woorden, de service auditor beantwoordt de vraag: Voldoet het rapport aan de vormvereisten en is het rapport een toereikende, juiste en volledige weergave van de werkelijke situatie?. Naast kennisname van het rapport zal de ontvangende accountant altijd nog gegevensgerichte controlewerkzaamheden moeten uitvoeren om een bewering in de jaarrekening in haar geheel te kunnen beoordelen. Het gebruik van het rapport door het management van de gebruikersorganisatie is niet zo gereguleerd als het gebruik door accountants. Voor hen is het rapport enerzijds een bron om vast te stellen in hoeverre de afspraken uit de contracten zijn nagekomen. Anderzijds maakt het deel uit van het bouwwerk van interne controles. De informatie uit het Service Organisatie Control-rapport in combinatie met de eigen complementary user entity controls moet ertoe leiden dat het proces aantoonbaar in control is.

28 28 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Hoe verhoudt een Service Organisatie Controlrapport zich tot een uitbestedingscontract? In uitbestedingscontracten wordt dikwijls zonder veel verdere specificatie opgenomen dat de opdrachtgever het recht heeft om audits uit te voeren. De serviceorganisatie realiseert zich meestal niet hoe kostbaar het kan zijn om deze audits in goede banen te leiden. Omdat de audit vaak van essentieel belang is voor de accountantscontrole van de jaarrekening zal de opdrachtgever vrijwel altijd invulling willen geven aan dit recht van audit. Door het opstellen van een Service Organisatie Control-rapport kan de serviceorganisatie de regie in hand houden en ook proactief te werk gaan in de communicatie met haar opdrachtgever. Bij meer generieke processen, die in eenzelfde vorm door veel partijen wordt afgenomen (bijvoorbeeld software as a service of andere Cloud ITservicemodellen), zal het recht van audit geen deel uitmaken van het contract. De serviceorganisatie zou haar efficiëntie verliezen als zij dit wel mogelijk zou maken. Indien de serviceorganisatie haar stelsel van interne controle zichtbaar wil maken voor haar klanten is ook hier een Service Organisatie Control-rapport de oplossing. Het wordt een onderscheidend kenmerk; er wordt niet alleen verwerkingsservice geleverd maar daarboven wordt een door een auditor beoordeeld rapport inzake de beheersingsmaatregelen aan de gebruikers ter beschikking gesteld. 4.3 Welke eisen worden aan een serviceorganisatie gesteld? Een serviceorganisatie moet in staat zijn haar beheersingsraamwerk en de onderliggende beheersingsmaatregelen inzichtelijk te maken om een Service Organisatie Control-rapport te kunnen opstellen. Daarboven moet zij in staat zijn om aan te tonen dat zij gewerkt heeft volgens de in het rapport gedocumenteerde interne controleprocessen. Een serviceorganisatie moet hier een zekere mate van volwassenheid voor hebben, anders lukt dit niet.

29 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Voor een serviceorganisatie is het opzetten van een Service Organisatie Controlrapport dikwijls een versnelling in de professionalisering van de administratieve organisatie. Een Service Organisatie Control-rapport met een schoon auditorsrapport is hier het doel waar naartoe wordt gewerkt. Voorafgaande aan de audit kan de service auditor een zogenaamde diagnostic review uitvoeren resulterend in een adviesrapport. Het rapport bevat geen oordeel, maar uitsluitend een advies ten aanzien van de punten die in het concept Service Organisatie Control-rapport verbeterd kunnen worden. De service auditor kan op basis van zijn beoordeling adviseren; hij kan geen concreet ontwerp van beheersingsdoelstellingen en beheersingsmaatregelen maken en niet helpen bij de inrichting of bij de uitvoering van de controls. Met deze activiteiten zou hij zijn onafhankelijkheid als service auditor verliezen. Het adviesrapport is uitsluitend bestemd voor de serviceorganisatie, en kan niet worden gedeeld met derden buiten de serviceorganisatie. 4.4 Wanneer is de auditor onafhankelijk? Een auditor die betrokken is geweest bij het inrichten van de beheersingsorganisatie kan deze daarna niet beoordelen. Hij is niet meer onafhankelijk. De onafhankelijkheid komt niet in het geding als hij, zoals in de voorgaande paragraaf al genoemd, adviseert over de normen die hij hanteert en hoe die uitwerken op de serviceorganisatie. Afgezien van een bijzondere situatie onder de Amerikaanse wetgeving 8 kan een accountant gebruikmaken van een rapport dat door hem zelf of door een kantoorgenoot is geaudit. Uit het oogpunt van onafhankelijkheid is dit niet anders dan dat hij in opdracht van de gebruikersorganisatie bij de serviceorganisatie audits op het interne controlesysteem zou hebben uitgevoerd. Hij beoordeelt zijn eigen werk niet, hij maakt gebruik van zijn eigen werk. 8 De uitzondering onder de Amerikaanse SEC-reguleringen zijn erg specifiek en bij gebruik van de rapporten buiten de Verengde Staten niet relevant. Neem in concrete situaties contact op met een ter zake deskundige professional.

30 30 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Wat zijn de kosten van een Service Organisatie Control-rapport? In de besluitvorming om tot een Service Organisatie Control-rapport te komen wordt al snel naar de auditkosten gekeken. Dit is de meest zichtbare post, maar niet de grootste post. In het eerste jaar is de grootste investering het opstellen van een beschrijving van de beheersprocessen volgens de vereisten van de standaard en het aantoonbaar maken dat op de beschreven wijze is gewerkt. Bij het opstellen van de rapportage is het bijna onvermijdelijk dat er nog wat adminstratief organisatorische aanpassingen moet worden gemaakt om tot een toereikend raamwerk van beheersingsmaatregelen te komen en de werking hiervan aantoonbaar te maken. Een Service Organisatie Control-rapport is dynamisch; het volgt de ontwikkeling van de organisatie. Ook in de volgende jaren zal geïnvesteerd moeten worden in het onderhoud van het rapport en het proces van oplevering van controleinformatie. Door inschakeling van de internal audit-functie en/of interne controleafdelingen bij het uitvoeren van testwerk kan de externe auditor besparen op zijn tijdsbesteding. Dit is echter meer een verschuiving van kosten dan een echte besparing. Door het beschikbaar stellen van een Service Organisatie Control-rapport aan haar gebruikers voorkomt de serviceorganisatie dat zij capaciteit vrij moet maken voor het begeleiden van auditors van de gebruikersorganisatie. De inspanning voor het in goede banen leiden van deze audits moet niet worden onderschat. Zij kunnen talrijk zijn en zijn naar hun aard moeilijk in te plannen. Op de lange termijn wordt nog een bijkomende bate waargenomen. Door het optimaliseren van beheersingsmaatregelen en het doorlopend testen van de werking ervan ontstaat een organisatie die soepeler opereert. Er wordt minder van incident naar incident gewerkt, maar meer proactief in een beheerst proces.

31 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Wie mag een auditorsrapport afgeven? Het uitvoeren van assurancewerkzaamheden is wettelijk niet afgeschermd. Een ieder kan assurancerapporten afgeven. Voor organisaties die zich gebonden hebben aan de NBA geldt, volgens de door de NBA uitgevaardigde nadere voorschriften accountantskantoren, dat assurance rapporten moet worden afgegeven door een door NBA erkende auditor 9. Deze auditor moet zich houden aan de algemene ethische, deskundigheids-, kwaliteitsbeheersings- en onafhankelijkheidsregels. Het is aan de gebruiker van het Service Organisatie Control-rapport (de gebruikersorganisatie en haar accountant) om vast te stellen of de betrokken auditor / auditorganisatie hem voldoende vertrouwen inboezemt om op de inhoud van het rapport te willen steunen. 9 Registeraccountant (RA) of Register IT Auditor (RE)

32 32 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Kan continuïteit van de dienstverlening deel uitmaken van de scope? De Nederlandse accountant is verplicht in zijn accountantsverslag te rapporteren over de bij normale uitoefening van zijn taak in het kader van de controle van jaarrrekening waargenomen risico s ten aanzien van de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Het ISAE 3402 rapport kan hiervoor een bron van informatie zijn voor de accountant van de gebruikersorganisatie. De vraag is dan ook in hoeverre continuïteit van de dienstverlening deel kan uitmaken van de scope? In principe kunnen beheersingsmaatregelen met betrekking tot continuïteitsdoelstellingen geen deel uitmaken van de scope van het Service Organisatie Control rapport onder ISAE Dit komt voort uit de gedefinieerde reikwijdte van de standaard. De reikwijdte van een ISAE 3402 rapport is beperkt tot: interne beheersingsmaatregelen die waarschijnlijk relevant zijn voor de interne beheersing van de gebruikende entiteit in relatie tot de financiële verslaglegging De bepaling of de interne beheersingsmaatregelen relevant zijn voor de interne beheersing van gebruikende entiteiten in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming. Een controledoelstelling omtrent foutloos herstel en de tijdige beschikbaarheid van data is veelal mogelijk. Denk hierbij aan de back-up en recovery maatregelen. Controledoelstellingen gericht op de toekomst (bv bedrijfscontinuïteit) gaan verder dan de reikwijdte van de standaard en horen niet thuis in een ISAE 3402 rapport. Een voorbeeld van een veelgebruikte controledoelstelling omtrent back-up en recovery-maatregelen is: De beheersingsmaatregelen bieden een redelijke mate van zekerheid dat de data regelmatig is geback-upt en beschikbaar is voor herstel in geval van verwerkingsfouten, onverwachte onderbrekingen bij de verwerking, of beide.